医療におけるサイバーセキュリティ

まったく別のウイルス

医療分野におけるサイバー侵入の波を食い止めるための進行中の戦いの簡単な概要。

つい最近まで、企業はドアや窓に鍵をかけることで保護されていました。それはもっとシンプルな時代でしたが、残念ながら、サイバー戦争の現代では、そのような時代は過ぎ去りました。最近の WannaCry ランサムウェア攻撃が何らかの兆候を示しているとすれば、企業や機関はこれまで以上にサイバー セキュリティを真剣に受け止め、潜在的に壊滅的な結果を回避する必要があります。

医療におけるサイバーセキュリティ

ヘルスケアインフォマティクス.com

ビジネスの世界では、個人情報が漏洩したり、企業の機密データが盗まれたりといった破壊的なハッキングが横行しているが、それに加えて、政治的な武器として使われる外国の組織によるハッキングの影響を無効化するために、サイバー セキュリティ対策が採用されている。これはますます深刻な世界的問題となっており、こうしたシステムを破壊するハッカーのますます洗練された能力に対抗するために、高度なサイバー セキュリティ手法の導入が求められている。

「近年、サイバーセキュリティは医療の分野でますます大きな懸念事項となっており、注目度の高いサイバー攻撃や脆弱性が保険会社、病院、医療機器メーカーに混乱を引き起こしています。患者データの紛失や改ざん、病院サービスの中断、特定の機器を狙った攻撃による患者への被害など、患者にとってのリスクも大きいのです…」 1

サイバー犯罪と戦うための政府の介入

医療におけるサイバーセキュリティ

ナショナルサックス

医療業界の急速なデジタル化により、この分野はサイバー攻撃に対して特に脆弱になっており、この事実は米国議会でも無視されていません。下院エネルギー・商業委員会は最近、医療分野のサイバー セキュリティに対処するために招集されました。情報共有分析センター (ISACS) は、医療提供者のセキュリティを強化し、サイバー攻撃を企てる者の活動を阻止する上で鍵となる可能性があります。

全米ISAC協議会(NCI)を構成する24の組織の相互協力により、「民間部門の重要インフラ全体と政府との間の情報の流れを最大化するための多大な努力がなされています。ISACのない重要インフラ部門およびサブ部門は、NCIに連絡して、NCIの活動に参加する方法を確認してください。」2

もちろん、医療の規制と提供に責任を持つ無数の業界と政府機関を考慮すると、サイバー セキュリティに関して医療の公的機関と民間機関のパートナーシップを強化することは非常に困難な作業です。議会は、企業が ISAC の継続的な取り組みに参加するよう促すために、税制優遇措置やその他のインセンティブを提供するよう奨励されています。

参加率の低さがサイバーセキュリティの実施を阻害

残念ながら、医療施設の参加率の低さは、業界全体で効果的なサイバーセキュリティ対策を実施するための継続的な取り組みにおいて、根強い問題となっている。メルクの IT リスク管理担当副社長兼最高情報セキュリティ責任者のテリー・ライス氏によると、「情報がメンバー間で機密に保たれないのではないかと懸念する場合、企業は ISAC 内で情報を共有することを躊躇する可能性がある」という。3

「最も衝撃的な統計は、CEOやCIOなどの幹部、さらには取締役まで、組織のトップの40%がサイバーセキュリティや顧客データの保護に個人的に責任を感じていなかったという事実です」とタニウムの最高セキュリティ責任者デイブ・ダマト氏は語る。 CNBC のスクウォーク ボックスヘルスケア業界のサイバーセキュリティについて語る 13

医療におけるサイバー犯罪の高コスト

医療におけるサイバーセキュリティ

dcpracticeinsights.com

患者情報の漏洩やその他のデータ盗難の明らかな脅威とは別に、サイバー セキュリティの失敗は、年間 $62 億という莫大な費用がかかると、ポネマン研究所が実施した 2016 年の研究プロジェクトは述べています。この研究で明らかになった洞察によると、「ヘルスケア組織のほぼ 90% が過去 2 年間にデータ侵害を経験しています。その期間に 45% で 5 件以上のデータ侵害が発生し、サイバー攻撃の平均コストは $220 万に上ります。電子医療記録 (EHR) に含まれるデータは、ヘルスケアがハッカーの目に魅力的なターゲットである理由としてよく挙げられます。」4

人々は自分の健康情報は医師のオフィスや病院で管理されているので安全だと信じたがりますが、実際はそうではないことがよくあります。医療記録のデジタル化は進行中で、医療業界にとって費用のかかる提案となっています。すべての情報のセキュリティを確保するには莫大な費用がかかり、サイバー セキュリティのこの部分はコスト削減のため、または単に全体の取り組みの規模が大きいために無視されることがあります。

医療におけるサイバー窃盗の利益性

医療におけるサイバーセキュリティ

このサイトについて

もちろん、健康記録は闇市場で人気商品であり、個人情報、請求先住所、クレジットカード番号を入手しようとする人々から高額で取引される可能性があります。ハッキングは確かに非常に儲かるビジネスになり得ます。次の例を考えてみましょう。「2016 年 3 月、フロリダ州フォートマイヤーズに拠点を置く 21st Century Oncology からハッカーが 220 万件以上の患者記録を盗み出しました。1 か月後、Premier Healthcare, LLC から 205,748 件の保護されていない患者記録が入ったラップトップが盗まれました。」 5

ランサムウェアの出現

ランサムウェアは、最近世界中で発生した WannaCry 攻撃によってよく知られるようになったほとんどの人にとっては新しい用語です。この攻撃では、重要なインフラ システムが機能不全に陥り、こうした攻撃に特有の不安やデータ損失の可能性に屈した人々から多額の身代金が要求されています。特に医療業界は、ランサムウェアの侵入に対して脆弱です。

「病院は、重要な医療を提供し、患者の記録から得られる最新情報に依存しているため、この種の恐喝の格好の標的です。薬物履歴、手術指示書、その他の情報にすぐにアクセスできないと、患者の治療が遅れたり中断されたりする可能性があります。そのため、病院は、死亡や訴訟につながる可能性のある遅延のリスクを冒すよりも、身代金を支払う可能性が高くなります。」 6

ランサムウェア マルウェアは、事実上、コンピュータをロックし、犯人に身代金を支払わない限り、データにアクセスできないようにします。通常、この支払いはビットコインで行われます。ほとんどの場合、身代金の支払いには期限が設定されており、期限を過ぎるとコンピュータのデータが破壊されます。被害を受けたほとんどの当事者は身代金を支払いませんが、身代金を支払う人も十分にいるため、これは特に儲かる犯罪行為となっています。

医療におけるサイバーセキュリティ

翻訳元

医療業界がランサムウェア攻撃に対して脆弱なのは、驚くべきことに、多くの病院がサイバー セキュリティ侵害の防止に十分な対策を講じていないためです。その代わりに、ほとんどの病院は、患者情報のセキュリティを確保するために、HIPAA コンプライアンスと連邦ガイドラインの遵守に主な関心を向けてきました。結局のところ、医療従事者の大半は、サイバー攻撃が発生する前にそれを認識して阻止できるほど十分な訓練を受けていません。十分な訓練とサイバー セキュリティ対策が実施されている場合でも、常に一歩先を行く犯罪者を出し抜くことは、常に課題となります。

IoTデバイスも危険にさらされている

現状をさらに深刻にしているのは、サイバー攻撃がコンピューターだけでなく、コンピューターに接続されているデバイスにも影響を及ぼす可能性があることです。医療機器、心拍モニター、血糖モニターは、サイバー攻撃に対して脆弱なデバイスのほんの一例です。ディック・チェイニー副大統領は、悪意のある者が遠隔操作でペースメーカーの機能を操作できないように、ペースメーカーをサイバー攻撃から保護するよう要求したことで有名です。率直に言って、このようなデバイスへの干渉は、生きるためにそれらに依存している患者にとって致命的となる可能性があります。

医療におけるサイバーセキュリティ

ワイヤード

医療ハッキングの例として、「現在使用されているエクスプロイトの 1 つである MedJack では、攻撃者は医療機器にマルウェアを注入し、ネットワーク全体に拡散します。このような攻撃で発見された医療データは、脱税や個人情報の盗難に使用される可能性があり、有効な薬の処方を追跡するためにも使用されるため、ハッカーはオンラインで薬を注文し、ダーク ウェブで販売することができます。」 7

私の知る限り、ペースメーカーのハッキングが原因で死亡した患者はいませんが、医療機器の故障、設定エラー、ソフトウェアのバグが原因で死亡した患者はいます。つまり、先制的なハッキング、それに続く協調的な脆弱性の開示とベンダーによる修正という形でのセキュリティ研究が、人命を救うのに役立つ可能性があるということです。SINTEFのセキュリティ研究者マリー・モー氏は、「さあ、ハッカー。私の心を壊して(ワイアード)13

FCC は現在、医療機器の IoT サプライヤーに対し、製造する製品にセキュリティ対策を組み込むことを提案しています。ここで提案されているキーワードはセキュリティです。実際にこれらのメーカーにセキュリティ対策と要件を義務付けるのは、時間のかかる作業です。さらに、デバイスとデータベース間のデータを中継するネットワークにも、サイバー セキュリティの実装と監視が極めて重要です。

新しい大統領、新しい秩序

医療におけるサイバーセキュリティ

翻訳元

トランプ政権がサイバー セキュリティの問題にどう取り組むかについては、多くの憶測が飛び交っていた。2017 年 5 月 11 日、大統領は、サイバー犯罪行為に対抗する国家の総合的な能力の見直しを義務付ける大統領令に署名した。この命令により、サイバー セキュリティに関する責任の大半は連邦政府機関に課され、各機関はリスク評価を行い、90 日以内にそれぞれの報告書を提出することになった。重要なインフラのリスクを調査する追加報告書は、大統領令発布から 6 か月後に提出することになった。

「この命令は、自動的に生成されたスパムトラフィックでウェブサイトを標的とするボットネットの脅威の見直しを求めている。 Mirai ボットネット 昨年、大規模なインターネット障害を引き起こした。しかし、アクセス・ナウは、この命令は、脆弱性開示の政府プロセスとデータ侵害への対応についても対処すべきだと述べている。」 8

  • リスク評価

  • 災害復旧と緊急時対応計画

  • 専用のセキュリティオペレーションチーム

  • ビジネスアソシエイト/ベンダーの精査

  • 従業員研修の改善

このリストは、healthcareitnews.com が 2017 年 1 月に公開した記事から引用したものです。 9

  • 階層型防御

  • 技術衛生の改善

  • サイバーセキュリティパートナーシップ

  • より優れたソフトウェア

  • 法医学コンサルタント

サイバー攻撃のリスクを完全に排除できる予防策や対策はありません。むしろ、病院、診療所、個人診療所は、患者の個人情報と全般的な安全を守るために、協力して継続的なリスクを管理することしかできません。同時に、継続的な技術の進歩により、医療機器やコンピュータ ネットワークの脆弱性が解消されることが期待されます。

医療分野やその他の分野におけるサイバー犯罪の潜在的に破滅的な影響を抑制するためのこの取り組みは、米国をはるかに超えて広がっています。現在、世界中でサイバー攻撃の波を食い止める、または少なくとも、医療システムに侵入し、可能な限りあらゆる場所で大混乱を引き起こし、恐喝するというサイバー犯罪者の終わりのない取り組みの影響を最小限に抑えるための世界的な取り組みが進行中です。

サイバー攻撃の政治的動機

医療におけるサイバーセキュリティ

デイリーメール

北朝鮮と文明世界のほぼすべての国との間に存在する敵対的な政治環境を考えると、このならず者国家が最近の WannaCry ランサムウェア攻撃や、政治的な理由や金銭的脅迫を目的としたその他の悪意ある試みの犯人として挙げられているのも不思議ではない。

「サイバーセキュリティ研究者らは、北朝鮮と世界的な「ランサムウェア」サイバー攻撃「WannaCry」を結び付ける可能性がある技術的な手がかりを発見した」 150か国で30万台以上のマシンが感染シマンテックとカスペルスキー研究所は、以前のバージョンの WannaCryソフトウェア また、多くの企業の研究者が北朝鮮が運営するハッキング活動であると特定したラザルス・グループが使用するプログラムにも登場していた。」 10

専門家全員が、WannaCry ランサムウェア攻撃の動機が金銭的なものであると信じているわけではない。英国のサイバーコンサルタント会社 Hacker House の Matthew Hickey 氏のように、犯人は単に「できるだけ多くの被害を与える」ことを望んでいたと考える人もいる。これは、インド、台湾、ウクライナ、ロシアなど、攻撃の影響を最も受けた国々で確かに当てはまった。

ロシアの指導者ウラジミール・プーチン氏のように、WannaCryランサムウェア攻撃におけるNSAの役割を非難する者もいる。WannaCry技術は「NSAが発端と思われるWindowsのセキュリティ上の欠陥を利用した流出したツールに基づいている」と考えられている。「特にシークレットサービスによって作られた精霊が瓶から出れば、その作者や作成者自身に危害を加える可能性があることを我々は十分に認識している」とプーチン氏は北京で述べた。 ロシア国営通信社タス通信によると。」 11

「次期大統領は、世界がこれまでに見たことのないほど洗練され、執拗なサイバースパイ文化を引き継ぐことになる。大統領は、標的の重要インフラサイロの周囲に強力な次世代防御層を迅速に配置できる専門家を揃える必要がある。」ジェームズ・スコット、重要インフラ技術研究所シニアフェロー 14

医療分野におけるサイバー侵入対策の動向

当然のことながら、ビジネスや産業のあらゆる分野におけるサイバー セキュリティ侵害の脅威は、今後も弱まることはありません。医療分野では、将来的に悲惨な事件を回避するために、技術と全体的な警戒を継続的に改善する必要があります。医療におけるサイバー犯罪抑止の未来として考えられる、特定の保護トレンドが生まれつつあります。

リストのトップは、クラウドベースの情報セキュリティツールへの移行の増加です。この動きにより、「ツールをより動的に更新して、ゼロデイタイプのマルウェアに対処できるようになります。クラウドへの移行により、最終的には、これらのツールを大規模から小規模まですべての医療提供者に提供することがより経済的になるはずです。」 12

医療におけるサイバーセキュリティ

翻訳元

さらに、医療業界は、医療ネットワーク全体および施設間での情報共有と連携の強化を奨励せざるを得なくなります。医療機関は本質的に閉鎖的であることが多いため、このような相互サイバー セキュリティの取り組みを推進するのは困難です。この情報共有は医療の枠を超え、関係者全員のリスクを最小限に抑えるために、多くのビジネス分野や組織に及ぶことが予想されます。

結局のところ、サイバー セキュリティ侵害、ランサムウェア、およびこの分野における新たな脅威や出現する脅威の危険性をなくすための取り組みは、医療業界だけでなくあらゆるレベルの従業員に対する教育と意識向上にかかっています。誰もが十分な教育を受け、サイバー リスクの警告サインや、サイバー侵入の流れを食い止めるための包括的な取り組みに参加するために何ができるかを理解すれば、医療業界と世界中の文明的な情報共有の保護者は、あらゆる分野でサイバー犯罪の有害な影響を制限するために、引き続き大きな前進を遂げることができるでしょう。

サイバーセキュリティ対策をお手伝いします

SISインターナショナルリサーチは、独立系家庭診療所から多層的でモノリシックな医療ネットワークまで、さまざまなレベルで医療業界と数十年にわたって交流してきました。医療分野の企業や機関が直面する課題に対する当社の独自の理解は比類のないものです。当社は、ステークホルダーに関する調査と情報を提供します。

当社のソリューションには以下が含まれます。

ベストプラクティス研究
従業員ステークホルダー調査
ヘルスケア意思決定者調査
病院管理者および利害関係者の市場調査
キーオピニオンリーダー(KOL)調査
市場情報
患者市場調査
脅威の傾向追跡

今日、最も尊敬される医療機関とその患者を狙ったサイバー犯罪の増加によってもたらされる脅威がさらに複雑化していることから、当社は自らの役割を極めて真剣に考えています。医療業界の重要性と多面性を理解していることを誇りとする企業として、当社は今後も、クライアントが期待し、要求する高品質で包括的な調査機能で、医療関連の診療所、施設、組織にサービスを提供し続けます。このようにして、医療業界におけるサイバー攻撃の非常に現実的で深刻な脅威を医療コミュニティが理解し、それに対抗できるよう支援する役割を担っていきたいと考えています。

この研究をまとめるにあたっては、以下のリソースが使用されました。

  • http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
  • https://www.nationalisacs.org/
  • http://www.raps.org/Regulatory-Focus/News/2017/04/04/27267/Cybersecurity-House-Committee-Looks-to-Build-on-Public-Private-Partnerships/#sthash.x4Xvdf6q.dpuf
  • https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
  • https://learningnetwork.cisco.com/blogs/talking-tech-with-cisco/2017/03/21/cybersecurity-and-healthcare-a-forecast-for-2017
  • https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/
  • https://www.wired.com/2017/03/medical-devices-next-security-nightmare/
  • https://techcrunch.com/2017/05/11/trump-signs-long-delayed-executive-order-on-cybersecurity/
  • http://www.healthcareitnews.com/news/top-10-cybersecurity-must-haves-2017
  • http://www.dingit.tv/highlight/1441974?utm_source=Embedded&utm_medium=Embedded&utm_campaign=Embedded
  • www.healthcareitnews.com/blog/3-trends-shaping-future-cybersecurity
  • https://www.forbes.com/sites/danmunro/2016/12/18/top-ten-healthcare-quotes-for-2016/#5f47fb6b127f
  • http://www.goodreads.com/quotes/tag/cyber-security